25% De Todos Los Contratos Inteligentes Contienen Errores Críticos

Por cada problema que se resuelve con los contratos inteligentes, aparecen otros. En una semana en la que EOS ha hecho noticias por muchas razones equivocadas sobre una vulnerabilidad de RAM, un auditor de código ha revelado la prevalencia de errores de contratos inteligentes. La empresa de seguridad Hosho, la cual ha forjado una nueva asociación con los administradores de la comunidad Amazix, ha descubierto que uno de cada cuatro proyectos contiene vulnerabilidades críticas.

Mil Millones De Dólares No Son Garantía contra Bugs

Mil millones de dólares. Esa es la cantidad recaudada por los proyectos cuyos contratos inteligentes Hosho ha auditado. La compañía de seguridad afirma haber auditado más contratos inteligentes que cualquier otro actor de la industria. A pesar de los importantes recursos humanos y financieros de los que disponen, muchos de estos proyectos se habrían visto paralizados si no se hubiera examinado a fondo su código. Un cuarto de los proyectos que Hosho ha auditado fueron encontrados con errores críticos, y cerca del 60% de todos los proyectos que vieron tenían por lo menos un problema de seguridad.

Ethereum, la plataforma de lanzamiento de la economía ICO, ha sido la más afectada, con historias abundantes de código explotable que ha llevado a cientos de millones de dólares de ether robado o perdido. Mientras que las plataformas de contratos inteligentes como Stratis están impulsando la disponibilidad de suites de depuración de despliegues y descompiladores profesionales que vienen con el uso de C#, el sistema Turing-complete de Ethereum deja un mayor margen de error. Identificar y eliminar todos los posibles agujeros de seguridad es una tarea de Sísifo, con la que incluso los desarrolladores experimentados de Solidity tienen dificultades. Conseguir el apoyo de un tercero especializado en auditorías de contratos inteligentes, aunque no es infalible, es la mejor apuesta contra el envío de código lleno de errores.

Pruebas Para Contratos Inteligentes Como Servicio

Si bien es práctica de la industria tener contratos inteligentes auditados antes de la venta de un token, los proyectos que aún no han recaudado fondos pueden verse tentados a reducir gastos y escatimar en esta tarea. Sin embargo, hacerlo puede resultar fatal, ya que los peores errores provocan que las billeteras se vacíen o que se manipulen las vulnerabilidades de desbordamiento del búfer para alterar los saldos de las cuentas. Varios proyectos basados en Ethereum se han visto obligados a realizar cambios de tokens después de arruinar su primer intento de conseguir un contrato inteligente.

Esta semana, en EOS Land, todas las energías se han enfocado en parchar un exploit de RAM que ha sido detectado recientemente. Permite a un usuario malicioso “instalar código en su cuenta que le permitirá insertar filas a nombre de otra cuenta enviándole tokens”. Esto les permite bloquear la RAM insertando grandes cantidades de basura en filas cuando los dapps/usuarios les envían tokens”.

Amazix, la empresa preeminente de gestión comunitaria y consultoría dentro de la economía de tokens, ahora se ha asociado con Hosho para ofrecer a sus clientes una auditoría de contratos inteligente. “En ausencia de estándares de la industria, vemos que las auditorías de contratos inteligentes y las pruebas de penetración son componentes esenciales de una buena seguridad en los sistemas de tecnología blockchain”, dijo Kenneth Berthelsen, CMO de Amazix. “En nuestra opinión, no hay gente mejor calificada para hacer esto que los ingenieros de Hosho.”

Los defensores de las criptomonedas ven que los contratos inteligentes finalmente se infiltran en todo, desde los seguros hasta la resolución de disputas. Antes de que eso pueda suceder, será crucial desarrollar la confianza en el código que los rige.

¿Crees que los contratos inteligentes llegarán a ser a prueba de errores o que persistirán las vulnerabilidades explotables? Comparte tu opinión sobre este tema en los comentarios en la parte de abajo.

Autor Original: Kai Sedgwick


Imágenes cortesía de Shutterstock


Ahora puedes acceder a Satoshi Pulse. Un listado completo y en tiempo real del mercado de criptomonedas. Mira precios, gráficos, volúmenes de transacciones y mucho más para las 500 principales operaciones de criptomonedas en la actualidad.